mailbox.org は、何百万人もの人々が使用している iOS 用の myMail クライアントに重大な脆弱性を発見しました。 パスワードの送信は暗号化されずに行われるため、これはユーザーを危険にさらします。 この脆弱性は、TLS ログにエラー メッセージが見つかったため、偶然発見されました。 その後、専門家はパスワードを抽出することができました。
データ保護とデータ セキュリティを専門とするベルリンを拠点とする電子メール サービスである mailbox.org チームは、iOS 用の myMail クライアントに重大なセキュリティの脆弱性を発見しました。これにより、ユーザーのパスワードと電子メールが暗号化されずに送信されます。 mailbox.org は、セキュリティ研究者の Mike Kuketz と共に、myMail のユーザーに向けた警告を彼のブログで最初に公開しました。
脆弱性によりパスワードが明らかになる
メールボックスのセキュリティ専門家は、メールボックス ユーザー フォーラムの顧客が myMail クライアント経由で電子メールを送信する際の送信エラーを指摘した後、セキュリティ ギャップに気付きました。 ログを徹底的に調査した結果、チームは、myMail アプリが、必要な TLS 暗号化なしで保護されていないパスワードを送信しようとしていることを発見しました。これは、大きなセキュリティ リスクをもたらします。 したがって、mailbox.org チームは接続からユーザー パスワードを抽出することもできました。
mailbox.org のマネージング ディレクターである Peer Heinlein 氏によると、それらのサーバーは通常、ユーザーのセキュリティを確保するために、暗号化されていない接続を拒否します。 これが、myMail アプリの誤った接続試行が失敗した唯一の理由であり、mailbox.org のユーザーとポストマスターが疑わしくなりました。
myMail クライアント: TLS 暗号化が正しくないか、またはありません
この問題は、mailbox.org の顧客だけに関連するものではありません。myMail クライアントを使用するすべてのユーザーにとって一般的なセキュリティ リスクでもあります。 他のプロバイダーが暗号化されていない接続を許可し、myMail アプリが動作し続ける場合、第三者がパスワードを盗んだり、myMail クライアント経由で送信された暗号化されていない電子メールの内容を読んだりする可能性があります (特にユーザーがオープン ネットワークにいる場合)。
mailbox.org チームは、セキュリティの問題が解決されるまで、myMail クライアントを自社のサービスまたは他の電子メール プロバイダーと接続して使用しないことを強くお勧めします。 より高いセキュリティ基準とより優れたユーザー プライバシー保護を提供する代替電子メール クライアントは多数あります。 同時に、今回の事件は、安全に構成され、暗号化を実施するシステムを介して排他的に通信することがいかに重要であるかを改めて示しています。
詳しくはmailbox.orgで
mailbox.org経由
ドイツの電子メール スペシャリストである mailbox.org は、デジタル主権、セキュリティ、およびデータ保護を、利便性と広範な機能と組み合わせることができることを示しています。 従来の電子メールのコア機能に加えて、セキュリティを重視する個人および企業のお客様は、オープン ソース ソリューションに基づくカレンダー、アドレス帳、タスク管理、オンライン ワード プロセッシング、およびクラウド ストレージも利用できます。
トピックに関連する記事